[Contribution SYNETIS] NASA domaine principal : RXSS

Dans le cadre de leurs activités quotidiennes, les consultants de SYNETIS peuvent être amenés à déceler des vulnérabilités aussi bien :

Dès que des vulnérabilités sont détectées, des mesures de préventions, de sensibilisation et de corrections sont proposées par nos consultants aux équipes techniques, communautaires ou de support pour combler les brèches au mieux.

C’est en ce sens que SYNETIS vous informe d’une très récente contribution de deux de nos collaborateurs à la sécurité du portail principal de la NASA.gov.

Après la détection d’une vulnérabilité au sein de leur plateforme vidéo et la mise en place d’un « Proof Of Concept » pour illustrer les faits, les équipes de sécurité du site ont bloqué le vecteur d’attaque potentiel suite à notre notification.

Le vecteur d’attaque, de la famille des “Cross-Site Scripting” était une XSS réfléchie basée sur le DOM. En d’autres termes, celles-ci impactait l’ensemble des navigateurs du marché (Chrome, Firefox et IE) sous leur dernière version.

20150124-NASA.gov-RXSS_003

Par le biais d’une telle XSS, il aurait été possible à un assaillant de prendre le contrôle du contexte du navigateur d’une victime (framework BeEF), modifier le rendu des pages, capturer des cookies ou autres informations d’identification des utilisateurs.

L’exemple suivant démontre une altération du DOM du navigateur d’une victime, affichant un rendu du portail NASA.gov arbitraire :

20150124-NASA.gov-RXSS_008

Il est important de rappeler que le « pentest » est une étude/analyse différente de « l’audit ». Le « pentest sauvage » est un acte puni par la loi comme atteinte aux systèmes de traitement automatisé de données (Article 323).

Audit : Test complet d’une infrastructure, étude globale d’un système donné, à la fois technique et organisationnelle, permettant d’apprécier la sécurité de façon globale, devant déboucher sur une politique de sécurité.

Pentest : Test, tentative de pénétration d’un système à la façon d’un attaquant, limité dans le temps et dans l’espace.

Les mœurs en termes de « pentest sauvage » tendent à évoluer ces dernières années, notamment au travers des « bug bounty program » que de nombreux sites de renoms proposent (Paypal, Microsoft, Etsy, Square, Magento, etc.).

Pour plus d’information quant à l’analyse de vulnérabilités, l’audit de système (boite-blanche, boite-noire) et l’évaluation globale de la sécurité de votre SI, n’hésitez pas à nous contacter.

Sources & ressources :

Yann & Georges